7. Защита от вредоносных программ
7.1. Вредоносные программы и их классификация
определения
признаки разрушающей программы
классификация вирусов
классификация программных закладок
Другое название – разрушающее программное воздействие.
Виды: компьютерные вирусы, программные закладки.
Компьютерные вирусы– программы со свойствами:
способность самовключения в тело других файлов или в системные области дисковой памяти;
самовоспроизведение (автоматическое получение управления);
самораспространение в компьютерной системе.
Программные закладки– внутренняя или внешняя по отношению к программной системе программа, обладающая деструктивными для этой системы функциями.
Признаки разрушающей программы:
скрытие своего присутствия,
самокопирование,
искажение кода других программ в оперативной памяти,
сохранение результатов работы других программ,
искажение, блокировка, полная подмена информации, передаваемой другими программами.
Классификация компьютерных вирусов:
по способу заражения:
загрузочные – поражают загрузочные сектора;
файловые;
комбинированные;
по способу распространения в компьютерной системе:
резидентные;
нерезидентные;
по степени опасности:
безвредные (написаны в целях обучения, из научных соображений);
неопасные: только аудио и видеоэффекты;
опасные: уничтожают информационные ресурсы;
очень опасные: выводят из строя оборудование, наносят ущерб здоровью человека;
по особенностям алгоритма:
спутники: переименование исходного файла, сохранение своего кода в файле с исходным именем;
паразитические: существуют внутри файлов или загрузочных секторов;
невидимки (stealth-технология): скрытие факта заражения от антивируса;
полиморфные (призраки): каждая копия вируса отличается от предыдущей;
по наличию дополнительных возможностей:
перехват системных сообщений;
модификация даты последней записи;
обработка атрибута «readonly».
Классификация программных закладок:
перехватчики паролей:
имитация программ регистрации в системе;
перехват нажатий клавиш на клавиатуре;
троянские программы – предоставляют НСД нарушителям;
мониторы – наблюдение, контроль, чтение, модификация данных, передаваемых по сети;
логические бомбы – прогармма, уничтожающие информацию на компьютере (по событию);
компьютерные черви;
программные закладки, предназначенные для подмены или отключения средств защиты.
7.2. Загрузочные и файловые вирусы
загрузочные вирусы
файловые вирусы
благоприятные условия для создания вирусов в макросах
Загрузочные вирусы
Размещаются в:
MBR (Master Boot Record – 1-й физический сектор диска) – замена программы начальной загрузки;
загрузочные сектора (BR, Boot Record – 0-й сектор логического диска) – замена программы загрузки ОС.
Вирус может полностью заменить сектора на собственный код.
Алгоритм работы:
копирование резидентной части
переопределение векторов прерывания BIOS
…
загрузка настоящей программы и передача ей управления
Файловые вирусы–
программные файлы (exe, vxd, sys, com, ovl),
текстовые файлы (htt, bat),
макросы (doc, xls, mdb).
Благоприятные условия для создания вирусов в макросах:
макрос м.б. ассоциирован с файлом документа,
существуют штатные средства переноса макросов из одного документа в другой,
есть возможность связывания макроса с событиями.